I-Worm.Magistr.b

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Magistr.b

I-Worm.Magistr.b« Volver al listado de Virus

‘Magistr.b’ es una adaptación del código del algoritmo utilizado por el virus. Por esto ninguno de los escáner antivirus es capaz de reconocer esta nueva variante del virus aún con el analizador heurístico habilitado”, comenta Eugene Kaspersky, Jefe de Anti-Virus Research en Kaspersky Labs.

Kaspersky Labs ha reaccionado rápida y eficazmente a la aparición de esta nueva amenaza, realizando la correspondiente actualización de las firmas de virus para la detección de “Magistr.b” desde el 4 de Septiembre.

Esta variante se caracteriza por sus efectos destructores y por la variación en los métodos de propagación vía Internet y red local.

Además de eliminar todos los ficheros de las unidades locales y les de red, almacena código malicioso en memoria CMOS (parámetros de arranque del hardware de la máquina) y en chip BIOS, sobrescribe los cargadores del sistema operativo WIN.COM y NTLDR de tal modo que, bajo ciertas condiciones, en el siguiente arranque de la máquina, se eliminan todos los datos de los discos, tanto locales como den red. Mientras busca archivos para infectar, el virus también destruye archivos con extensión .NTZ. Además, si "Magistr.b" detecta una copia activa del software cortafuegos "ZoneAlarm" lo deshabilita.

Para obtener direcciones de correo electrónico para propagarse, “Magistr.b” busca en las bases de datos de Eudora, Outlook Express, Netscape Messenger, clientes de correo electrónico Internet Mail y la libreta de direcciones de Windows. El virus, al igual que con ficheros con formato .DOC y .TXT, es capaz de adjuntar ficheros .GIF files. Además hará una amplia búsqueda de recursos de red accesibles donde intentará implantar sus copias. El virus busca las siguientes carpetas: "WINNT", "WINDOWS", "WIN95", "WIN98", "WINME", "WIN2000", "WIN2K" y "WINXP." De esta forma el virus es capaz de propagarse más eficientemente e incrementar sus efectos.

Se recomienda a los usuarios tengan actualizado el antivirus y en caso de estar infectados, se pongan en contacto con nosotros en: soporte@codine.es.

La desinfección del Magistr.b es un poco más laboriosa de lo normal, lo que sigue a continuación describe como hacerlo.

Desinfección:

El virus utiliza ComputerName como clave para encriptar los datos de la
victima. Para desinfectar estos archivos necesitamos el ComputerName. De la
base de datos (desde la rutina de desinfección) no podemos utilizar la
función GetComputerNameA de Win32 API para hacerlo.

Para solucionar este problema:
1. Descargue y ejecute el archivo DISINF.EXE. Esto creará el fichero DISINF.INI con
diferentes datos, incluyendo ComputerName.

2. Escanee DISINF.INI con AVP. Una rutina en la base de datos cogerá el nombre de la máquina del fichero DESINF.INI.

3. Escanee la máquina y desinfectela del Magistr.b. La rutina de desinfección utilizará el ComputerName conseguido en el paso 2.